Chiffres clés de cette étude Kaspersky :
- Sont 20 % à bénéficier d’une solution de sécurité sur tous les appareils qu’ils utilisent dans le cadre professionnel et 8 % sur une partie de ces appareils.
- Sont 42 % à utiliser leur smartphone personnel pour manipuler des données de santé.
- Privilégient les emails (33 %) et les SMS (27 %) au détriment des outils professionnels.
- Sont 32 % à estimer manquer connaissance et de formation sur le sujet.
Kaspersky a commandité une étude auprès de YouGov pour mesurer le degré de connaissance des professionnels de santé en matière de sécurité informatique et de protection des données de santé. Il en ressort un préoccupant paradoxe. Si 70 % des professionnels de santé déclarent se sentir concernés par les questions de cybersécurité et de protection de la vie privée, ils sont 80 % à ne pas disposer d’une solution permettant de protéger l’ensemble des appareils qu’ils utilisent dans le cadre professionnel.
L’industrie médicale a opéré son virage numérique, pour le meilleur et pour le pire. Les dossiers médicaux et l’imagerie sont maintenant largement dématérialisés, les équipements connectés à Internet et les patients communiquent avec leur médecin traitant par SMS. Ces changements apportent des bénéfices non négligeables aux patients, à commencer par la simplification des échanges avec le corps médical et l’efficacité des soins. En revanche, ils apportent aussi leur lot de contrainte. La vulnérabilité aux cyberattaques en fait partie et souvent, le personnel médical est en première ligne.
« Les organisations de santé utilisent chacune de très nombreux équipements reliés entre eux et connectés à Internet : matériel biomédical, ordinateurs professionnels, appareils mobiles… À cela s’ajoutent le nombre et la grande diversité des acteurs impliqués dans la production de la donnée de santé ou son cycle de vie, depuis les praticiens jusqu’aux patients, en passant par les experts technologiques. Tous sont vulnérables aux mêmes types d’attaques que les autres secteurs et doivent en être conscients, d’autant que la sécurité des patients dépend de celle de leurs données médicales » relève Tanguy de Coatpont, Directeur Général de Kaspersky France.
L’usage des outils de communication grand public au détriment des outils professionnels
Parmi les appareils utilisés pour créer, modifier ou partager des données de santé, les professionnels de santé déclarent préférer les appareils personnels. Ils se servent en priorité :
- De leur smartphone (42 %).
- De leur ordinateur portable (29 %).
- De leur tablette (17 %).
- Les équipements professionnels arrivent loin derrière, avec en tête l’ordinateur de bureau (8 %).
En ce qui concerne la communication et le partage d’informations avec les patients, les professionnels favorisent :
- L’e-mail (33 %).
- Le SMS (27 %).
- WhatsApp (11 %).
- Les outils professionnels (7 %).
L’usage d’outils de communication grand public, au détriment des outils professionnels, peut s’expliquer par la nécessité pour le médecin et son patient de disposer du même moyen de communication. En revanche, ils représentent un risque non négligeable pour la protection des données patients. Selon les analyses de Kaspersky, le nombre d’attaques utilisant des logiciels malveillants mobiles a quasiment doubler entre 2017 et 2018[1]. Le risque est encore accru lorsque les appareils ne sont pas sécurisés, ce qui est le cas dans près de 50% des cas. 22% des répondants reconnaissent qu’aucune mesure de sécurité n’est en place et 24% ne savent pas.
Une sensibilisation insuffisante à la cybersécurité
La question de la confidentialité des données de santé manipulés par les professionnels de santé se pose si l’on considère que :
- Seuls 20 % d’entre eux utilisent une solution de sécurité sur tous les appareils qu’ils utilisent dans le cadre professionnel et 8 % sur une partie de ces appareils
- Seuls 7 % des sondés revendiquent l’utilisation d’une solution de chiffrage des emails ou d’une messagerie chiffrée.
- Seuls 5 % des sondés chiffrent les données stockées sur leurs équipements.
Preuve de l’urgence à protéger les données de santé et former ceux qui les manipulent, 10 % des sondés admettent avoir été victime d’une fuite de données ou d’une attaque au cours des derniers mois. Ces incidents ont au moins une conséquence positive puisqu’ils ont une véritable influence sur la mise en place de procédures de sécurité :
- 35 % des répondants ayant été victime d’une attaque a installé une solution de sécurité sur tous les appareils qu’ils utilisent dans le cadre de leur activité professionnelle, contre 18 % des sondés n’ayant pas été touchés par un incident de sécurité.
- 28 % sur une partie de ces appareils, contre 6 % des sondés n’ayant pas été touchés par un incident de sécurité.
- Les incidents motivent également l’adoption du chiffrement, utilisé par 17 % des répondants ayant subi un incident de sécurité, contre seulement 4 % chez les autres.
Malgré tout, ces chiffres restent très faibles au regard de la criticité des données de santé. En effet, plus de la moitié des professionnels de santé (55 %) estiment ne pas disposer des ressources et moyens nécessaires pour garantir efficacement la sécurité et la confidentialité des données numériques des patients. Ils considèrent :
- Manquer de connaissance et de formation sur le sujet (32 %), puisque seuls 11% ont été formés aux enjeux de cybersécurité au cours des 24 derniers mois, alors même que le règlement européen sur la protection des données est entré en application il y a un peu plus de 17 mois.
- Manquer de ressources financières (17 %).
- Qu’il est difficile de concilier la protection des données avec les contraintes professionnelles liées à l’usage de ces données (14 %).
- Manquer de temps (13 %).
« Je suis convaincu que l’un des freins à la pleine adoption du numérique dans le secteur de la santé reste la défiance qu’il inspire. La cybersécurité est l’un des éléments qui permettra d’établir cette confiance nécessaire, au même titre que la transparence et le respect des règles », indique Tanguy de Coatpont. « En France, le changement est long à s’imposer mais une fois le processus enclenché, la mise en action peut être très rapide. Les bénéfices apportés par le numérique sont tels, pour les professionnels comme pour les patients, que nous devrions surmonter ces obstacles rapidement. »
Méthodologie de l’étude
Cette étude a été menée par Yougov pour Kaspersky France en juillet 2019, auprès d’un panel de 1 002 professionnels de santé en France. Les participants ont été interrogés sur leur perception de la sécurité informatique et l’état des lieux de cette dernière dans leur quotidien. Les données sont pondérées pour être représentatives de la population des professionnels de santé.